เหตุผลที่ควรคิดถึง AI ควบคู่กับการเข้ารหัสแบบต้นทางถึงปลายทาง
(blog.cryptographyengineering.com)- เมื่อผู้ช่วย AI และเอเจนต์เริ่มเข้ามาอยู่ใจกลาง ข้อมูลส่วนบุคคล เช่น ข้อความ รูปภาพ และการโทร การรับประกันความเป็นส่วนตัวที่การเข้ารหัสแบบต้นทางถึงปลายทางเคยปกป้องไว้ก็เริ่มเผชิญแรงกดดันใหม่
- การเข้ารหัสแบบต้นทางถึงปลายทางทำให้เซิร์ฟเวอร์มองไม่เห็นข้อมูลแบบ plaintext ระหว่างการส่ง แต่ไม่ได้ป้องกันการใช้งานหลังจากอุปกรณ์ปลายทางหรือผู้ใช้ส่งต่อข้อมูลไปยัง เซิร์ฟเวอร์ประมวลผล AI
- ยิ่งการรันโมเดล AI ที่ทรงพลังบนโทรศัพท์ทำได้ยาก ฟีเจอร์อย่างการสรุปข้อความ การตรวจจับสายหลอกลวง และการช่วยเขียนข้อความ ก็ยิ่งมีแนวโน้มพึ่งพา การประมวลผลนอกอุปกรณ์
- Private Cloud Compute ของ Apple พยายามลดความเสี่ยงของการอนุมานบนคลาวด์ด้วยฮาร์ดแวร์ที่เชื่อถือได้, Secure Boot, การลงนามโค้ด, บันทึกความโปร่งใส และการออกแบบแบบไร้สถานะ แต่ไม่ใช่การรับประกันเชิงเข้ารหัสทางคณิตศาสตร์
- เมื่อเอเจนต์ AI อเนกประสงค์สามารถอ่านและตอบข้อมูลส่วนบุคคลได้ ประเด็นหลักจะย้ายจากการรันในเครื่องหรือไม่ ไปเป็น ใครเข้าถึงเอเจนต์ได้บ้าง
AI กำลังเปิดประเด็นถกเถียงเรื่องการเข้ารหัสแบบต้นทางถึงปลายทางอีกครั้ง
- บทความ How to think about end-to-end encryption and AI โดยนักวิจัยจาก NYU และ Cornell ตอบคำถามตรงจุดเกี่ยวกับจุดตัดระหว่าง AI กับการเข้ารหัสแบบต้นทางถึงปลายทาง
- ระบบผู้ช่วย AI อย่าง scam call protection ของ Google และ Apple Intelligence กำลังพยายามเข้าไปอยู่ในส่วนต่าง ๆ ของโทรศัพท์ โดยเฉพาะใน ข้อความส่วนตัว
- การถกเถียงในยุโรปเรื่อง “mandatory content scanning” อาจบังคับให้ระบบแมชชีนเลิร์นนิงสแกนข้อความส่วนตัวแทบทั้งหมด ซึ่งทำให้ผลกระทบของ AI ต่อความเป็นส่วนตัวปรากฏชัดยิ่งขึ้น
- แม้จุดเริ่มต้นจะแตกต่างกัน แต่ทั้งสองกระแสมาบรรจบกันที่ความขัดแย้งเดียวกัน
- ฟีเจอร์ AI ต้องการประมวลผลข้อมูลส่วนบุคคล
- การเข้ารหัสแบบต้นทางถึงปลายทางต้องการป้องกันไม่ให้เซิร์ฟเวอร์เห็นข้อมูลนั้น
- การประมวลผล AI ที่ทรงพลังอาจต้องใช้ทรัพยากรของเซิร์ฟเวอร์
ปัญหาที่การเข้ารหัสแบบต้นทางถึงปลายทางแก้ไขมาแต่เดิม
- ก่อนปี 2011 อุปกรณ์จำนวนมากที่เชื่อมต่อกับคลาวด์อัปโหลดข้อมูลเป็น plaintext และข้อมูลส่วนบุคคลอาจถูกเปิดเผยต่อแฮกเกอร์ หมายเรียกในคดีแพ่ง หมายค้นของรัฐบาล หรือการนำไปใช้ทางธุรกิจของแพลตฟอร์ม
- หากไม่ใช่ผู้ใช้ขั้นสูงที่ใช้เครื่องมืออย่าง PGP หรือ OTR ผู้ใช้ทั่วไปก็หลีกเลี่ยงความเสี่ยงเหล่านี้ได้ยาก
- ราวปี 2011 แอปส่งข้อความอย่าง Signal, Apple iMessage และ WhatsApp เริ่มนำ การเข้ารหัสแบบต้นทางถึงปลายทาง มาใช้เป็นค่าเริ่มต้น
- โดยเปลี่ยนวิธีจัดการกุญแจเพื่อไม่ให้เซิร์ฟเวอร์เห็นเนื้อหาข้อความแบบ plaintext
- หลังจากนั้นผู้ผลิตระบบปฏิบัติการโทรศัพท์อย่าง Google, Samsung และ Apple เริ่มเข้ารหัสข้อมูลที่จัดเก็บในเครื่อง Google นำการเข้ารหัสแบบต้นทางถึงปลายทางสำหรับการสำรองข้อมูลโทรศัพท์มาใช้เป็นค่าเริ่มต้น และ Apple ก็เริ่มทำตาม
- จุดร่วมของโครงการเหล่านี้คือ ข้อมูลที่เข้ารหัสแทบไม่จำเป็นต้องถูกประมวลผลบนเซิร์ฟเวอร์
ทางเลือกระหว่างการประมวลผลบนเซิร์ฟเวอร์กับบนอุปกรณ์
- การเข้ารหัสแบบต้นทางถึงปลายทางซ่อนเนื้อหาจากเซิร์ฟเวอร์ แต่ก็ทำให้เซิร์ฟเวอร์คำนวณบนข้อมูลนั้นได้ยาก
- สำหรับการสำรองข้อมูลบนคลาวด์หรือข้อความส่วนตัว ข้อมูลมีความหมายต่อไคลเอนต์เป็นหลัก จึงยอมรับข้อจำกัดนี้ได้ค่อนข้างมาก
- สำหรับฟีเจอร์ที่ต้องประมวลผลข้อมูล เช่น การรู้จำข้อความในรูปภาพ โดยทั่วไปจะมีสองทางเลือก
- ส่ง plaintext ไปยังเซิร์ฟเวอร์ ซึ่งเป็นการเปิดช่องโหว่ที่การเข้ารหัสแบบต้นทางถึงปลายทางตั้งใจลดลงอีกครั้ง
- จำกัดไว้เฉพาะการประมวลผลที่ทำได้บนอุปกรณ์
- ทางเลือกที่สองถูกผูกไว้กับ สมรรถนะการประมวลผล, RAM, แบตเตอรี่ และความแตกต่างของฮาร์ดแวร์ในโทรศัพท์
- แม้แต่ iPhone ระดับสูงก็อาจประมวลผลรูปภาพตอนกลางคืนระหว่างชาร์จเพื่อหลีกเลี่ยงการสิ้นเปลืองแบตเตอรี่
- โทรศัพท์เรือธงบางรุ่นมีราคามากกว่า 1,400 ดอลลาร์ และมาพร้อม GPU กับ neural engine ในตัว
- แม้ในสหรัฐฯ ก็ยังซื้อโทรศัพท์ Android ราคาหลักร้อยดอลลาร์หรืออุปกรณ์ที่ถูกกว่านั้นได้ ทำให้ขีดความสามารถในการประมวลผลแตกต่างกันมาก
ฟีเจอร์ AI ขยายการประมวลผลข้อมูลส่วนบุคคล
- LLM สามารถสร้างและเข้าใจข้อความมนุษย์ที่ซับซ้อนได้ และโมเดลประมวลผลภาพก็มีความสามารถทรงพลังเช่นกัน
- บริษัทโทรศัพท์และแอปส่งข้อความมองว่าโมเดล AI เป็นฐานของฟีเจอร์ในอนาคต และมีหลายฟีเจอร์ถูกปล่อยใช้งานแล้ว
- เอเจนต์ AI ถูกคาดหมายให้ไปไกลกว่านั้น โดยอ่านและตอบอีเมลกับข้อความ SMS สั่งอาหาร ช็อปปิง ปรับแต่งโปรไฟล์เดต เจรจาเงินกู้ และแม้แต่คาดการณ์ความต้องการของผู้ใช้
- เพื่อให้ระบบเหล่านี้ทำงานได้ จำเป็นต้องมี การเข้าถึงข้อมูลส่วนบุคคลแทบไม่จำกัด และกำลังประมวลผลขนาดใหญ่เพื่อจัดการข้อมูลเหล่านั้น
- โทรศัพท์จำนวนมากขาดกำลังประมวลผลสำหรับรันโมเดลที่ทรงพลัง และยิ่งโมเดลดีขึ้นหรือกลายเป็นระบบปิดมากขึ้น การประมวลผลจำนวนมากก็มีแนวโน้มย้ายไปยังเซิร์ฟเวอร์ระยะไกล
การรับประกันและปัญหาเรื่องความยินยอมในการส่งข้อความแบบเข้ารหัสต้นทางถึงปลายทาง
- การรับประกันทางเทคนิคของการส่งข้อความแบบเข้ารหัสต้นทางถึงปลายทางสมัยใหม่ อยู่ที่การออกแบบให้เนื้อหาข้อความแบบ plaintext ระหว่างส่งไม่ปรากฏอยู่นอกเหนือจากอุปกรณ์ปลายทางของผู้เข้าร่วม และปลายทางที่ผู้เข้าร่วมหรืออุปกรณ์เลือกจะแชร์ให้
- การรับประกันนี้ไม่ได้กำหนดการใช้งานหลังจากข้อมูล ถูกส่งมอบแล้ว
- การที่ผู้ใช้จับภาพหน้าจอ สร้างข้อมูลสำรองแบบ plaintext คัดลอกไปวางบน Twitter หรือส่งมอบอุปกรณ์เพื่อตอบสนองคดีความ ล้วนอยู่นอกขอบเขตของการเข้ารหัสแบบต้นทางถึงปลายทาง
- คำมั่นสัญญาต่อผู้ใช้ของผู้ให้บริการอาจแตกต่างจากการรับประกันทางเทคนิค
- ตัวอย่างเช่น ข้อความอาจถูกส่งอย่างปลอดภัย แต่อุปกรณ์อาจอัปโหลดเนื้อหา plaintext ไปยังเซิร์ฟเวอร์อื่น ทำให้ถอดรหัสได้ที่นั่น
- ในแชตกลุ่ม ผู้เข้าร่วมคนอื่นอาจเปิดฟีเจอร์ที่อัปโหลดข้อความ plaintext ที่ตนได้รับไปยังบริการได้
- ท้ายที่สุด ประเด็นสำคัญคือ ความยินยอมที่ให้โดยมีข้อมูลเพียงพอ
- บางบริษัทอาจแจ้งผู้ใช้อย่างดีเพื่อสร้างความไว้วางใจ
- บริษัทอื่นอาจขอความยินยอมผ่านข้อกำหนดการให้บริการที่อ่านยากในสหรัฐฯ หรือสร้างแบนเนอร์คุกกี้รูปแบบใหม่ใน EU
- หากการประมวลผล AI กลายเป็นเรื่องแพร่หลายอย่างสมบูรณ์ ทางเลือก opt-in/opt-out ของผู้ใช้อาจถูกจำกัด
แนวทางของ Apple Private Cloud Compute
- Apple คาดการณ์ว่าการอนุมานของแมชชีนเลิร์นนิงจำเป็นต้องถูก outsource ไปยังฮาร์ดแวร์ที่ทรงพลังกว่า จึงออกแบบคอมพิวเตอร์บนคลาวด์ที่มองว่าสามารถไว้วางใจให้จัดการข้อมูลส่วนบุคคลได้
- Private Cloud Compute ใช้อุปกรณ์ ฮาร์ดแวร์ที่เชื่อถือได้ ในศูนย์ข้อมูลของ Apple
- อุปกรณ์นี้คล้ายกับคอมพิวเตอร์ที่ถูกล็อกไว้ทั้งทางกายภาพและทางตรรกะ
- ใช้อุปกรณ์ที่ Apple ผลิตเอง ซิลิคอนแบบคัสตอม และฟีเจอร์ซอฟต์แวร์
- Secure Boot ทำให้โหลดได้เฉพาะซอฟต์แวร์ OS ที่ได้รับอนุญาต
- OS ตรวจสอบให้รันได้เฉพาะอิมเมจซอฟต์แวร์ที่ได้รับอนุญาตผ่านการลงนามโค้ด
- ไม่เก็บสถานะระยะยาว
- ทุกครั้งที่เชื่อมต่อ จะทำ load balancing คำขอไปยังเซิร์ฟเวอร์สุ่มคนละเครื่อง
- พิสูจน์ hash ของซอฟต์แวร์แอปพลิเคชันที่กำลังรัน
- อิมเมจซอฟต์แวร์ต้องอยู่ใน transparency log ที่ตรวจสอบได้ เพื่อป้องกันการแอบเพิ่มซอฟต์แวร์
- Apple กล่าวว่าจะเปิดเผยอิมเมจซอฟต์แวร์ให้นักวิจัยด้านความปลอดภัยตรวจสอบบั๊กได้ แต่ไม่ใช่ซอร์สโค้ดทั้งหมด
- การออกแบบนี้มุ่งทำให้ทั้งผู้โจมตีและพนักงาน Apple ดึงข้อมูลออกจากอุปกรณ์ได้ยาก
- อย่างไรก็ตาม แนวทางนี้ให้การรับประกันที่อ่อนกว่าการเข้ารหัส
- รวมศูนย์ข้อมูลที่มีมูลค่าสูงจำนวนมาก
- พึ่งพา Apple ในการทำให้ฟีเจอร์ความปลอดภัยฮาร์ดแวร์และซอฟต์แวร์ที่ซับซ้อนทำงานอย่างถูกต้อง แทนที่จะพึ่งพาคณิตศาสตร์ของอัลกอริทึมเข้ารหัส
- ถูกประเมินว่าเป็นแนวทางที่ดีกว่าการประมวลผลบนเซิร์ฟเวอร์ที่ดูเหมือนพนักงานสามารถล็อกอินเข้าไปเข้าถึงได้ อย่างเช่น OpenAI
FHE และข้อจำกัดในปัจจุบัน
- การใช้ Fully Homomorphic Encryption (FHE) ทำให้คำนวณบนข้อมูลส่วนบุคคลในสภาพที่ยังเข้ารหัสอยู่ได้
- ในทางทฤษฎีทำได้ แต่ในปัจจุบันมีแนวโน้มว่ายังไม่เหมาะกับการใช้งานจริง
- วิธี FHE ที่ดีในวันนี้เหมาะกับการประเมินโมเดลแมชชีนเลิร์นนิงขนาดเล็กมากเป็นหลัก และโมเดลแบบนั้นอยู่ในระดับที่อุปกรณ์ไคลเอนต์สมรรถนะต่ำก็รันได้
- วิธีการและฮาร์ดแวร์จะพัฒนาขึ้น แต่คาดว่าอุปสรรคนี้จะคงอยู่อีกนาน
เอเจนต์ AI ทำงานเพื่อใคร
- ข้อมูลที่ใช้สำหรับ การฝึก และการ fine-tuning โมเดล AI ในอนาคตก็จะสร้างปัญหาความเป็นส่วนตัวครั้งใหญ่เช่นกัน แต่คำถามที่ใหญ่กว่ากำลังกลายเป็นว่าเอเจนต์อเนกประสงค์ทำงานเพื่อใครกันแน่
- สหราชอาณาจักรและ EU ได้หารือกฎหมายที่บังคับให้ “สแกน” ข้อความส่วนตัวที่เข้ารหัสโดยอัตโนมัติ
- ข้อเสนอของ EU มุ่งเน้นการตรวจจับ CSAM ทั้งที่มีอยู่แล้วและรายการใหม่
- ในบางช่วง ยังรวมถึงการตรวจจับบทสนทนาเสียงและข้อความที่ถูกมองว่าเป็น “พฤติกรรมล่อลวงเด็ก”
- ข้อเสนอของสหราชอาณาจักรมีขอบเขตกว้างกว่า ครอบคลุมเนื้อหาผิดกฎหมายหลายประเภท เช่น hate speech เนื้อหาก่อการร้าย และการฉ้อโกง
- ร่างแก้ไขฉบับหนึ่งรวมไปถึง “ภาพผู้อพยพข้ามช่องแคบอังกฤษด้วยเรือเล็ก” ด้วย
- การสแกน CSAM ที่รู้จักอยู่แล้วไม่จำเป็นต้องใช้ AI/ML แต่การตรวจจับ CSAM ใหม่ พฤติกรรมล่อลวงเด็ก และ hate speech ต้องอาศัยการอนุมานแมชชีนเลิร์นนิงที่ทรงพลังบนข้อมูลส่วนบุคคล
- โดยเฉพาะการตรวจจับบทสนทนาเสียงและข้อความ ไม่เพียงต้องแปลงเสียงเป็นข้อความ แต่ยังต้องมีความสามารถเข้าใจหัวข้อการสนทนาของมนุษย์โดยไม่เกิด false positive
- ข้อเสนอเหล่านี้ยังไม่ได้ถูกนำไปใช้จริง ส่วนหนึ่งเป็นเพราะการสร้างระบบ ML ที่ประมวลผลข้อมูลส่วนตัวอย่างปลอดภัยนั้นยาก และแพลตฟอร์มต่าง ๆ ก็ต่อต้านการสร้างระบบดังกล่าว
แรงกดดันที่เอเจนต์ส่วนตัวอเนกประสงค์อาจสร้างขึ้น
- หากผู้ใช้สมัครใจสร้างและใช้งานเอเจนต์ AI อเนกประสงค์ เอเจนต์เหล่านี้อาจกลายเป็นทรัพยากรที่ทำงานสแกนหลายอย่างตามที่หน่วยงานบังคับใช้กฎหมายเคยเรียกร้องได้
- การจะป้องกันอย่างไรเมื่อรัฐบาลเรียกร้องการเข้าถึงทรัพยากรเหล่านี้ ยังคงเป็นปัญหาที่ยาก
- หน่วยงานบังคับใช้กฎหมายอาจถามคำถามที่ซับซ้อนกับเอเจนต์เกี่ยวกับพฤติกรรมและข้อมูลของผู้ใช้ได้
- “ผู้ใช้รายนี้มี CSAM ที่อาจเข้าข่ายหรือไม่”
- “ได้เขียนเนื้อหาในบันทึกส่วนตัวที่อาจเข้าข่าย hate speech หรือไม่”
- “มีความเป็นไปได้หรือไม่ว่ากำลังโกงภาษี”
- วิธีนี้อาจถูกนำเสนอว่าเป็นการ “รักษาความเป็นส่วนตัว” เพราะตำรวจมนุษย์ไม่ได้ค้นเอกสารโดยตรง และจะได้คำตอบเฉพาะเมื่อผู้ใช้น่าจะกระทำผิดกฎหมายเท่านั้น
- หลังจากเอเจนต์อเนกประสงค์ที่ทรงพลังเพียงพอถูกติดตั้งบนโทรศัพท์แล้ว ประเด็นชี้ขาดจะไม่ใช่ว่าโมเดลรันในเครื่องหรือบนฮาร์ดแวร์คลาวด์ที่เชื่อถือได้ แต่เป็นว่า ใครสามารถสนทนากับเอเจนต์นั้นได้
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ยิ่งมี การตรวจจับอัตโนมัติ มากขึ้น งบประมาณที่จัดสรรให้คนมาจัดการแต่ละกรณีก็ยิ่งลดลง และผู้ดูแลระบบก็ยิ่งพึ่งพาคำตัดสินอัตโนมัติมากขึ้น
ผลคือเมื่อเกิด false positive ก็จะติดต่อคนเพื่อแก้ปัญหาได้ยากขึ้น นำไปสู่ความหงุดหงิดอย่างหนัก ในบริการสำหรับองค์กรอาจเป็นแค่เรื่องน่ารำคาญ แต่ถ้าใช้ในการบังคับใช้กฎหมาย ก็อาจทำลายชีวิตคนได้
เมื่อก่อนเคยถูก Amazon ทำเครื่องหมายว่าเป็นรีวิวผิดกฎหมาย แล้วพยายามอธิบายกับคนอยู่นานหลายเดือน ทุกวันนี้ก็ยังยกปัญหานี้ขึ้นมาใหม่ประมาณปีละครั้ง แต่ก็ยังไม่แก้ ถ้าเรื่องแบบนี้เกิดขึ้นกับคดีอาญาร้ายแรง และศาลมีคดีค้างอยู่หลายปี ก็อาจร้ายแรงถึงขั้นทำลายชีวิตได้
การตรวจจับอัตโนมัติอาจทำงานได้ และในทางปฏิบัติก็คงหลีกเลี่ยงไม่ได้ แต่ต้องตั้งอยู่บนสมมติฐานว่า false positive จะต้องเกิดขึ้นแน่นอน และต้องจัดสรรกำลังคนให้เพียงพอเพื่อแก้ปัญหาเหล่านั้น ตอนนี้พอสร้างระบบตรวจจับขึ้นมา ก็ไล่คนที่รับผิดชอบออกทันที แล้วถือว่าระบบมาแทนที่คน ทั้งที่จริงแล้วมันควรเป็นเครื่องมือที่เสริมกำลังและช่วยให้คนโฟกัสมากขึ้น
ผู้มีอำนาจตัดสินใจไม่ได้ลงมือจัดการเคสจริง จึงไม่ได้เจอปัญหาโดยตรง สำหรับพวกเขามันกลายเป็นว่า “ถ้าประหยัดได้ 1 ล้านดอลลาร์ ทำไมไม่ประหยัด 2 ล้านดอลลาร์ล่ะ” และเมื่อโมเดล AI ขนาดใหญ่ทำให้การตรวจจับอัตโนมัติง่ายขึ้น คิดว่าปัญหานี้จะเลวร้ายลงมากในอีกไม่กี่ปีข้างหน้า
ในรัสเซียเคยมีนักวิทยาศาสตร์คนหนึ่งกลายเป็นผู้ต้องสงสัยในคดีฆาตกรรมเมื่อ 20 ปีก่อน เพียงเพราะ การจดจำใบหน้าตรงกัน 70% และการกล่าวอ้างเท็จของอาชญากรว่าร่วมกระทำผิดด้วย https://lenta.ru/articles/2024/04/03/scientist/
โชคดีที่ยังมีบันทึกเก็บถาวรของสถาบันวิจัยเป็นหลักฐานแก้ต่างว่าเขาเข้าร่วมการสำรวจที่อยู่ห่างไกลจากมอสโกในช่วงเวลานั้น แต่ถึงอย่างนั้นก็ยังถูกควบคุมตัวระหว่าง “การสืบสวน” นาน 10 เดือน สุดท้ายได้รับการปล่อยตัว แต่ก็น่ากังวลว่านักสืบตำรวจที่ใช้ผลจดจำใบหน้าที่อ่อนมากเพื่อทำผลงานอาจยังอยู่ในตำรวจ
ถ้าขยายไปสู่โลกที่ทุกมุมของชีวิตถูกควบคุมโดยแพลตฟอร์มผูกขาดที่ไม่มีแม้แต่ซัพพอร์ตลูกค้าพื้นฐาน ก็คงจะแย่ลงมากก่อนที่จะดีขึ้น
ดูได้ที่หน้าที่สามของ PDF ซึ่งแสดงเป็นหน้า 84: https://nob.cs.ucdavis.edu/classes/ecs153-2021-02/handouts/c...
น่าทึ่งที่เมื่อ 60 ปีก่อนมีคนคาดการณ์สถานการณ์แบบนี้ได้อย่างแม่นยำ แต่คำเตือนนั้นกลับไม่ถูกนำมาพิจารณาอย่างจริงจังเลย
ไม่จำเป็นต้องคาดเดาเกี่ยวกับ OpenAI เพราะ OpenAI ระบุไว้อย่างค่อนข้างโปร่งใสว่าเก็บข้อมูลไว้ 30 วัน และพนักงานรวมถึงผู้รับเหมาบุคคลที่สามสามารถตรวจสอบได้
https://platform.openai.com/docs/models/how-we-use-your-data
“เพื่อช่วยระบุการใช้งานในทางที่ผิด ข้อมูล API อาจถูกเก็บไว้ได้นานสูงสุด 30 วัน แล้วจึงถูกลบออกหลังจากนั้น (ยกเว้นในกรณีที่กฎหมายกำหนดไว้เป็นอย่างอื่น)”
https://openai.com/enterprise-privacy/
ระบุว่าการเข้าถึงข้อมูลธุรกิจของ API ถูกจำกัดไว้เฉพาะพนักงานที่ได้รับอนุมัติซึ่งจำเป็นต้องเข้าถึงเพื่อการสนับสนุนด้านวิศวกรรม การสอบสวนการใช้งานแพลตฟอร์มในทางที่ผิด และการปฏิบัติตามกฎหมาย รวมถึงผู้รับเหมาบุคคลที่สามผู้เชี่ยวชาญที่มีภาระผูกพันด้านความลับและความปลอดภัย ซึ่งทำหน้าที่เฉพาะตรวจสอบการละเมิดและการใช้งานผิดวัตถุประสงค์เท่านั้น
คุณกำลัง “คุย” กับเซิร์ฟเวอร์ของบริษัทที่สร้างชุดผลิตภัณฑ์ขึ้นจากการนำผลงานทางอาชีพและส่วนตัวของคนอื่นมาใช้ ไม่ว่าเจ้าของผลงานจะยินยอมหรือรับรู้หรือไม่ก็ตาม แทนที่จะเป็น “ขออภัยง่ายกว่าขออนุญาต” มันใกล้เคียงกับการไม่ถามเลย พอถามก็ตอบเลี่ยง ๆ และเมื่อถูกจับได้ก็พูดว่า “คุณไม่มีทางรู้ด้วยซ้ำว่าเรากำลังดูอยู่ แต่เราไม่ได้ปิดบัง ดังนั้นถือว่ายินยอมโดยปริยาย”
พูดตามตรง ระดับที่ OpenAI สัญญาไว้ในนโยบายความเป็นส่วนตัวก็น่าประหลาดใจแล้ว เมื่อดูจากกลยุทธ์เหยื่อล่อที่น่าสงสัย เช่น หลังช่วงประชาสัมพันธ์ “ว้าว สุดยอด” ในตอนแรก ก็แอบเปลี่ยนโมเดลหรือหั่นปริมาณการประมวลผลของลูกค้าที่จ่ายเงิน คงยากที่จะเชื่อว่านโยบายแบบนั้นจะอยู่ได้นานเมื่อบริษัทมีสถานะมั่นคงขึ้น
แถมถ้าวันหนึ่งมีวิธีดึงข้อมูลฝึกจากโมเดลได้ ก็อาจอ้างว่า “เป็นข้อมูลคนละชุดที่ดึงออกมาจากโมเดล นโยบายเดิมจึงไม่ครอบคลุม” ก็ได้ ถ้าเริ่มแพ้ในตลาด ก็ยากจะคิดว่า Altman จะไม่รีบขายสิ่งนั้นเพื่อหาเงินให้ผลิตภัณฑ์เดิมพันใหญ่ ๆ ไม่ต้องพูดถึงแชตบอตแนวแอปคู่รักน่าสงสัยทั้งหลาย
แน่นอนว่าควรมีการคุ้มครองความเป็นส่วนตัว แต่ที่น่าแปลกคือยังมีคนคิดว่าจะมีอยู่จริง ถึงจะรู้สึกว่าตัวเองมองโลกในแง่ร้ายเกินไป แต่ทุกวันนี้บทสรุปมักกลายเป็นว่าเรายังมองโลกในแง่ร้ายไม่พอ
ภัยคุกคามที่แท้จริงจะเกิดขึ้นเมื่อ AI ไม่ได้แค่เร่งงานของปัจเจกบุคคล แต่ถูกนำไปใช้กับ การควบคุมองค์กร
ทุกคนรู้ข้อจำกัดของผู้จัดการ ลำดับชั้นการบริหาร ตัวชี้วัด และ OKR กันอยู่แล้ว ดังนั้นแรงยั่วยวนจึงสูงมาก ไม่ยากเลยที่จะนึกภาพว่า CEO คิดจะเอาการสื่อสารทั้งหมดระหว่างพนักงานใส่เข้าไปใน AI แล้วให้ค้นถามได้ น่าขันตรงที่ถ้าทุกคนทำงานทางไกล ก็ยิ่งบังคับใช้ได้ง่ายขึ้น
ก็เป็นไปได้ว่า CEO และผู้บริหารระดับบนจะเข้าใจสิ่งที่เกิดขึ้นจริงได้ดีขึ้น และองค์กรจะมีประสิทธิภาพมากขึ้น แต่ความเชื่อที่เดิมก็เปราะบางอยู่แล้วว่าผู้มีอำนาจมองพนักงานทั่วไปเป็นมนุษย์จริง ๆ จะยิ่งลดลง
และชนชั้นผู้บริหารย่อมมองว่าไม่มีเหตุผลใดที่จะไม่ใช้เครื่องมือที่ใช้บริหารบริษัทไปบริหารประเทศด้วย ดังนั้นแนวทางแบบนี้จึงหลุดรั่วออกไปนอกองค์กรเอกชนอย่างเลี่ยงไม่ได้
ผู้สนับสนุนการสอดแนมมวลชนตอนนี้บอกว่าไม่จำเป็นต้องให้มนุษย์มานั่งฟังโทรศัพท์เองแล้ว แต่ความเสี่ยงที่แท้จริงไม่เคยใช่คนใส่สูทสีทึม ๆ ที่คอยถอดบทสนทนาจากเทปรีล ปัญหาอยู่เสมอที่ผู้มีอำนาจเรียกดู แฟ้มเอกสาร ของคนที่ทำให้ตนไม่สบายใจ แล้วเปิดดูด้วยจุดประสงค์ที่จะทำให้คนคนนั้นไม่อาจสร้างความไม่สบายใจให้ตนได้อีก
เหตุผลที่ผลลัพธ์เต็มรูปแบบของการสอดแนมมวลชนยังไม่ปรากฏ ก็เพราะยังไม่มีเครื่องมือจัดการข้อมูลเฉพาะกิจแบบไม่มีโครงสร้างจำนวนมหาศาลขนาดนั้น ตอนนี้มีแล้ว
เมื่อจำเป็นต้องมีการเปิดเผยพยานหลักฐานในข้อพิพาททางกฎหมาย ซอฟต์แวร์ e-discovery สามารถดึงการสื่อสารดิจิทัลทั้งหมดที่เข้าถึงได้มาใส่เข้า AI และหนึ่งในสิ่งที่ทำได้คือการวิเคราะห์อารมณ์ด้วย การนำ generative AI มาใช้กับงานกฎหมายเป็นประเด็นร้อนในวงการกฎหมายตอนนี้
ทิศทางข้างหน้ารู้สึกเหมือน XKEYSCORE ฉีดสเตียรอยด์ ดังนั้นสำหรับคำถามว่า “มันจะทำงานเพื่อเราหรือไม่” ผมค่อนข้างเอนเอียงไปทางว่าไม่
อยากมองในแง่ดีและมองโลกในแง่บวก แต่จากเส้นทางที่เราผ่านมา และจากพฤติกรรมของคนที่รับผิดชอบระบบเหล่านี้—พูดให้ชัดคือผู้บริหาร ไม่ใช่นักวิจัยหรือวิศวกร—ความหวังต่ออนาคตที่เป็นกลางและให้ความสำคัญกับความเป็นส่วนตัวเป็นอันดับแรกดูจะมีอยู่อย่างจำกัด
พวกเขาใส่สูทก็จริง แต่ส่วนใหญ่มักมีพื้นเพทางทหาร มีสำนึกหน้าที่ในการปกป้องสหรัฐฯ จากภัยคุกคามทั้งในและนอกประเทศ และตามประวัติศาสตร์แล้วดูเหมือนไม่ได้ใช้อำนาจเกินเลยอย่างใหญ่หลวงไม่ว่าจะภายใต้รัฐบาลชุดใด XKEYSCORE ก็ไม่ได้แฮ็กผู้คน แต่เป็นการเก็บ metadata จำนวนมากและสร้างโปรไฟล์ และทำอยู่ภายในกรอบกฎหมาย คำตำหนิควรไปถึงบริษัทที่ไม่ได้จัดหาเครื่องมือคุ้มครองความเป็นส่วนตัวด้วย เพราะรัฐบาลขนาดใหญ่ใด ๆ ก็สามารถสร้างระบบแบบเดียวกันได้
ในทางกลับกัน พรรครีพับลิกันสายต่อต้านอภิสิทธิ์ชนที่เคยวิจารณ์ Big Tech หลังปี 2016 สุดท้ายกลับกลายเป็นแฟนตัวยงที่เข้าข้างอภิสิทธิ์ชนที่สุด ให้สำนักงานในทำเนียบขาวแก่ Elmo และ Zucc ก็ยอมคุกเข่าเพื่อเลี่ยงการถูกฟ้อง
ผมคิดว่าระบบใหม่แบบนี้ควรอยู่ในมือของคนฉลาดที่ทำงานให้องค์กรป้องกันประเทศของสหรัฐฯ ด้วยสำนึกหน้าที่ ทั้งที่ถ้าไปอยู่บริษัทเอกชนคงได้เงินมากกว่านี้มาก
บริษัทต่าง ๆ ใช้ข้อมูลอินเทอร์เน็ตสำหรับฝึก AI ไปแทบหมดแล้ว จึงจะอ้างเอเจนต์เป็นข้ออ้างเพื่อเข้าถึงข้อมูลแบบเรียลไทม์ของแต่ละคน เหมือนเช่นเคย โมเดลธุรกิจคือ “คุณคือสินค้า”
ดูเหมือน Apple เพิ่งเปลี่ยนจุดยืนเมื่อไม่นานมานี้ ตอนนี้บอกว่า “ซอร์สโค้ด ขององค์ประกอบหลักด้านความปลอดภัยบางส่วนของ PCC มีให้ภายใต้ไลเซนส์การใช้งานแบบจำกัด” แน่นอนว่าถ้าทั้งหมดเป็นโอเพนซอร์สก็คงดีกว่า
https://github.com/apple/security-pcc/
Apple ดูเหมือนจะอ้างสิ่งที่ใหญ่กว่านั้น คือ 1) ไม่เก็บข้อมูลผู้ใช้ และประมวลผลเฉพาะระหว่างการ infer เท่านั้น, 2) ไม่มีสิทธิ์เข้าถึง runtime แบบ privileged จึงแม้แต่วิศวกรซัพพอร์ตก็ไม่สามารถดูข้อมูลผู้ใช้ได้, และ 3) มี binary กับซอร์สโค้ดบางส่วนให้เพื่อให้นักวิจัยด้านความปลอดภัยตรวจสอบข้อ 1) และ 2) ได้
ข้อกำหนดห้าประการของ Apple PCC ดูได้ที่นี่: https://security.apple.com/documentation/private-cloud-compu...
ผมไม่มีส่วนเกี่ยวข้องกับ Apple ผมอ่านคู่มือความปลอดภัยของ PCC เพื่อดูว่าถ้าจะสร้างโซลูชันเทียบเท่าในโอเพนซอร์ส หน้าตาจะเป็นอย่างไร ถ้าสนใจหัวข้อนี้ ติดต่อได้ที่ ozgun @ ubicloud . com
คำถามที่ถูกต้องคือ “AI agent ทำงานเพื่อใครกันแน่” เมื่อไม่กี่สัปดาห์ก่อนผมก็พูดถึงประเด็นเดียวกันนี้ ซึ่งเกี่ยวข้องกับแนวคิดทางกฎหมายเรื่อง ตัวการและตัวแทน
ความจริงที่เนื้อหาทั้งหมดจะถูกส่งผ่าน cloud AI เพื่อตรวจหา “อาชญากรรมทางความคิด” กำลังมาถึง หมวดหมู่ที่ถูกเสนอในปัจจุบัน ได้แก่ สื่อการล่วงละเมิดทางเพศเด็ก ภัยคุกคามต่อบุคคลสำคัญ ภัยคุกคามต่อรัฐบาล “การ grooming” ผู้เยาว์ การอภิปรายเรื่องยาเสพติด เพศ ปืน กิจกรรมรักร่วมเพศ การจัดการประท้วงหรือสหภาพแรงงาน เป็นต้น
โดยเฉพาะสื่อการล่วงละเมิดทางเพศเด็กได้กลายเป็นหมวดหมู่ที่ขยายครอบคลุมถึงภาพที่สร้างด้วย AI ในสหรัฐฯ แล้ว และในไม่ช้าอาจขยายไปถึงอนิเมะญี่ปุ่นด้วย ภัยคุกคามต่อบุคคลสำคัญอาจถูกขยายในสหรัฐฯ ให้ครอบคลุมสิ่งที่ในอดีตเคยมองว่าเป็นคำพูดทางการเมืองด้วย
ภัยคุกคามต่อรัฐบาลนั้นผิดกฎหมายอยู่แล้วในหลายประเทศ ควรจำไว้ว่า Trump ชอบโยนข้อหา “กบฏ” ใส่ผู้คนแม้ในเรื่องที่ไม่เกี่ยวกับการทำสงครามกับสหรัฐฯ ก็ตาม
“การ grooming” คลุมเครือมากจนสามารถครอบคลุมปฏิสัมพันธ์ส่วนใหญ่ได้ และการอภิปรายเรื่องยาเสพติด เพศ ปืน กิจกรรมรักร่วมเพศก็ถูกห้ามในหลายประเทศในหลากหลายรูปแบบ การจัดการประท้วงหรือสหภาพแรงงานถูกห้ามในจีนและเป็นเป้าหมายของการค้นหาอยู่แล้ว
การใช้ถ้อยคำอ้อมหรือสแลงไม่สามารถหลบการเซ็นเซอร์ได้ Large language model จัดการเรื่องแบบนั้นได้ ลองใส่ภาษาอังกฤษของคนผิวดำหรือ leetspeak แล้วขอให้แปลเป็นอังกฤษมาตรฐานดู ก็จะแปลได้ โมเดลนั้นน่าจะเคยเห็นภาษาถิ่นเหล่านั้นมากกว่าคนส่วนใหญ่เสียอีก
“หากคุณอยากเห็นภาพอนาคต จงจินตนาการถึงรองเท้าบูตที่เหยียบย่ำใบหน้ามนุษย์ตลอดกาล” — Orwell
https://www.orwell.org/dictionary/
ประเด็นสำคัญควรค่าแก่การย้ำอีกครั้ง
อาจรวมไปถึงสภาพที่พวกเขาต้องการอย่าง “ผู้หญิงใส่กางเกงถือเป็นการแต่งตัวข้ามเพศ และถ้าทำเช่นนั้นต่อหน้าเด็ก ๆ ก็เป็นความผิดอาญาร้ายแรง”
สิ่งที่น่าหดหู่ที่สุดที่ได้ตระหนักคือ ข้อมูลปริมาณมหาศาลที่เคยเอาไปไว้บนคลาวด์โดยคิดว่าแม้แต่กิจกรรมอาชญากรรมก็จะไม่ถูกสแกน ตอนนี้กลับกลายเป็นช่องทางให้ ตำรวจความคิด ตามมาถึงตัวได้ เพียงเพราะมีความเห็นที่ขัดแย้งธรรมดาๆ
เจ้าของเครื่องนั้นคือคนอื่น ดังนั้นผลประโยชน์ของพวกเขา ไม่ว่าจะเชิงพาณิชย์หรือเชิงอุดมการณ์ ย่อมมาก่อนเสมอ
หวังว่าสิ่งนั้นจะไม่เกิดขึ้น แต่ถ้ามันเกิดขึ้นก็ไม่ใช่เรื่องน่าประหลาดใจ ข้อมูลเก่า อาจกลายเป็นของเสียมีพิษได้
นับว่าโชคดีที่ข้อมูลซึ่งเก็บไว้ในอุปกรณ์โลคัลและถูกเข้ารหัสนั้น เครื่องมือ “AI” บนคลาวด์ไม่สามารถเข้าถึงได้
ปัญหาคือผู้ใช้ทั่วไปมักกด “ใช่/ยอมรับ/ดำเนินการ/ต่อไป/ตกลง” บนป๊อปอัป GUI โดยไม่คิดอะไร และยอมรับข้อกำหนดที่รวมถึงการถอดรหัสข้อมูลแล้วส่งไปยังบริการ “คลาวด์” บางอย่าง
ต่อไปเครื่องมือ “AI” น่าจะถูกใช้มากขึ้นเพื่อผูกคนไว้กับ บริการสมัครสมาชิกรายเดือน อย่าง iCloud, Office365 ส่วนบุคคลของ Microsoft, Google Workspace อย่างถาวร
คนจะต้องจ่ายเดือนละ 15 ดอลลาร์ไปตลอด และด้วยปริมาณข้อมูลกับการพึ่งพาผู้ให้บริการคลาวด์ ก็จะไม่มีวิธีที่เป็นจริงได้ในการหยุดจ่ายโดยไม่ทำให้ชีวิตปั่นป่วนอย่างหนัก
Green ชี้ประเด็นสำคัญไว้ การรับประกันเชิงเทคนิค นั้นต่างจากคำมั่นสัญญาต่อผู้ใช้ และระบบส่งข้อความแบบเข้ารหัสจากต้นทางถึงปลายทางมีหน้าที่เพียงส่งข้อมูลอย่างปลอดภัย ไม่ได้กำหนดว่าจะเกิดอะไรขึ้นหลังจากนั้น
แต่เหมือนเขาจะลืมประเด็นนั้นทันที แล้วพูดถึง PCC ราวกับว่ามันไม่ใช่แค่การรับประกันเชิงเทคนิคอีกแบบหนึ่ง PCC เพียงเพิ่มความเชื่อมั่นว่าซอฟต์แวร์ที่รันบนเซิร์ฟเวอร์คือซอฟต์แวร์ที่ Apple ตั้งใจให้รันเท่านั้น
มันไม่ได้รับประกันว่าหลังจากนั้นข้อมูลของฉันจะถูกส่งต่อไปที่ไหน หรือ Apple จะใช้เฉพาะเพื่อวัตถุประสงค์ที่ฉันยอมรับได้หรือไม่ PCC ทำให้ Apple ถูกแฮ็กได้ยากขึ้น แต่ไม่ได้ทำให้โปร่งใสขึ้นหรือมีความรับผิดชอบมากขึ้น
กลับกัน หากพิจารณาว่าแฮ็กเกอร์บางส่วนก็แฮ็กด้วยจุดประสงค์ที่เป็นประโยชน์ต่อสังคม เช่น เปิดโปงการใช้อำนาจเกินขอบเขตของบริษัท การเสริมความปลอดภัยก็อาจทำหน้าที่เป็นโล่ป้องกันไม่ให้เกิดความรับผิดชอบได้เช่นกัน แน่นอนว่านี่ไม่ได้หมายความว่าควรยกเลิกความปลอดภัยเพื่อให้ได้ความโปร่งใส
แก่นสำคัญที่ยังไม่ได้รับการแก้ตรงนี้ไม่ใช่ความปลอดภัย แต่คือ ความโปร่งใส ผมมองว่าสภาพอันย่ำแย่ของความปลอดภัยเองก็เกิดขึ้นได้ในส่วนใหญ่เพราะขาดความโปร่งใส
ถ้าเราต้องการให้ AI รับใช้สังคม เราต้องพลิกความไม่สมดุลของข้อมูลอย่างสุดขั้ว ที่ชีวิตส่วนตัวของแต่ละคนถูกเปิดเผยต่อผู้ให้บริการอย่างละเอียด ขณะที่ผู้ให้บริการยังคงเป็นกล่องดำสนิทสำหรับผู้ใช้
ถ้าต้องการพฤติกรรมของบริษัทที่ดี ก็ปล่อยให้ดำเนินงานอย่างมองไม่เห็นไม่ได้ ถ้าต้องการเทคโนโลยีที่มีจริยธรรม ก็ปล่อยให้มันทำงานอย่างมองไม่เห็นไม่ได้
คำถามที่น่าสนใจท้ายบทความมีความสำคัญเชิงนโยบาย
ไม่ว่าจะเลือกทางเทคนิคแบบใดเกี่ยวกับการคุ้มครองความเป็นส่วนตัว หลังจากมีการนำเอเจนต์ทั่วไปที่ทรงพลังพอไปใช้บนโทรศัพท์แล้ว คำถามที่เหลือคือใครมีสิทธิ์พูดคุยกับเอเจนต์นั้น มีเฉพาะผู้ใช้เท่านั้นหรือไม่ หรือจะให้ผลประโยชน์ของรัฐในการสอดส่องพลเมืองอยู่เหนือความเป็นส่วนตัวของบุคคล
โดยสมมติฐานแล้ว เป็นไปได้ที่รัฐบาลจะออกกฎหมายบังคับว่าต้องมีสิทธิ์เข้าถึงเอเจนต์ เพราะทั้งเราและบริษัทต่างอยู่ภายใต้เขตอำนาจที่สามารถผ่านกฎหมายใดๆ ก็ได้
แต่ในเชิงเทคนิค ผมคิดว่าน่าจะเป็นไปได้ที่จะรัน เอเจนต์โลคัล บนระบบที่เข้ารหัสทั้งดิสก์ และทำให้ใครก็ตามที่ไม่มีสิทธิ์เข้าถึงระบบไม่สามารถพูดคุยกับมันได้ ถ้าเป็นเช่นนั้น ในระดับเทคนิคก็ดูไม่ต่างจากเดิมมากนัก
การรัน regex แบบยุค 1980 จำนวนมากเพื่อค้นหาว่าคอมพิวเตอร์ของใครมีสิ่งอย่างแผ่นพับคอมมิวนิสต์หรือไม่ ก็เป็นสิ่งที่ทำได้มานานแล้ว
คำถามว่ารัฐบาลควรมีสิทธิ์เรียกร้องการเข้าถึงคอมพิวเตอร์ของฉันหรือไม่นั้นมีอยู่เสมอมา เพียงแต่ต้องจำไว้ว่า หากรัฐบาลเรียกร้องการเข้าถึงเอเจนต์ AI ที่รันบนคอมพิวเตอร์ของฉัน ก็เท่ากับเรียกร้อง บันทึกแบบสูญเสียรายละเอียด ของฮาร์ดดิสก์ทั้งหมดของฉันโดยพฤตินัย